GlobalProtect 在窗口上: 前登录隧道未能间歇性地建立

GlobalProtect 在窗口上: 前登录隧道未能间歇性地建立

42016
Created On 03/03/21 18:09 PM - Last Modified 04/19/21 16:46 PM


Symptom


GlobalProtect 顾名思义,预登录隧道是 GlobalProtect GlobalProtect 用户"在"登录到终点之前"在终点和网关之间创建的隧道。 本文描述了在 Windows PC 中部署预登录配置时可能遇到的问题。 Windows 中的预登录隧道建立工作流程如下:
  • 一旦窗口完成启动, GlobalProtect 服务(潘格普)就会启动。 PanGPS 可识别基于注册表设置启用预登录,并启动预登录线程。
  • 同样,当所有用户会话都终止时,即当 Windows 用户注销时,Windows 会通知 PanGPS,这将启动预登录线程。
  • 整个预登录隧道设置由 PanGPS 处理,必须在 Windows 通知 PanGPS 有关用户会话之前完成。
  • 一旦 PanGPS 了解用户徽标事件,它就会继续终止预登录线程。 当然,有两个结果:
    • 如果在 Windows 通知 PanGPS 有关用户会话时建立了预登录隧道,则保留预登录隧道并终止预登录线程。
    • 如果当 Windows 通知 PanGPS 有关用户会话时,正在协商预登录隧道,则预登录隧道设置要么中止,要么突然断开连接,则预登录线程将终止。
  • 用户登录事件完成后,根据连接方法和"预登录隧道重命名超时"值,在用户隧道建立并优雅地重命名为用户隧道或终止预登录隧道并建立用户隧道时保留预登录隧道。

当事件序列遵循正常模式,并且 PanGPS 在用户登录事件(通常不到一分钟)之前获得足够的时间时,则预登录隧道将始终如一地建立。 但是,我们注意到一个问题,即前登录隧道未能间歇性地建立,即使用户尚未登录系统。在以下部分,我们会检讨不同的操作阶段,以帮助我们找出问题。

在工作情景中,观察到以下事件序列[如 PanGPS .log文件中所见]:
启动后 PC :
(P5452-T5876)Info ( 156): 03/03/21 14:03:15:292 ####################### Start PanGPS service (ver: 5.2.5-66) #######################
(P5452-T7296)Info (10158): 03/03/21 14:03:17:173 PrelogonThread starts
(P5452-T7296)Debug(2377): 03/03/21 14:03:17:173 ----portal processing starts----
(P5452-T7296)Debug(6897): 03/03/21 14:03:17:252 ----Portal Pre-login starts----
(P5452-T7296)Debug(8260): 03/03/21 14:03:17:454 portal status is Connected
(P5452-T7324)Debug(5473): 03/03/21 14:03:17:600 ----Network Discover starts----
(P5452-T7324)Info (1385): 03/03/21 14:03:26:844 CPanGatewayList::PickGatewayBaseOnWeight, PAN_NEW_GATEWAY_SELECTOR, chose prefered gateway index =7, gateway is Amsterdam
(P5452-T7324)Debug(3502): 03/03/21 14:03:26:848 ----Gateway Pre-login starts----
(P5452-T7324)Debug(3909): 03/03/21 14:03:27:123 ----Gateway Login starts----
(P5452-T7324)Debug(2645): 03/03/21 14:03:27:500 ----Tunnel creation starts----
(P5452-T7324)Debug(6849): 03/03/21 14:03:31:384 --Set state to Connected

用户登录后:

(P5452-T5456)Debug(1534): 03/03/21 14:25:41:344 Session 1, username roadrunner.
(P5452-T5456)Debug(1543): 03/03/21 14:25:41:344 Session 1, domain name ACME.
(P5452-T5456)Info (1578): 03/03/21 14:25:42:017 User acme\roadrunner logs in on session 1
(P5452-T7160)Info (10231): 03/03/21 14:26:13:294 PrelogonThread exits
(P5452-T7284)Debug(2444): 03/03/21 14:26:13:294 User just logs in
(P5452-T7284)Debug(2377): 03/03/21 14:26:13:851 ----portal processing starts----
... 
and so on


在非工作情景中,可以观察到以下序列(如 PanGPS.log文件中所示)
在这里,一旦 PC 启动然后启动 PanGPS 进程,Windows 就会通知用户会话已创建,会话已锁定。 有了这个,预登录隧道的建立不可能发生,因为PanGPS了解一个活跃的用户会话。 但是,我们所知道的是,用户尚未正式登录,即用户尚未尝试通过键入凭据进行登录:

(T4456)Info ( 144): 02/24/21 18:27:37:334 ####################### Start PanGPS service (ver: 5.2.5-66) #######################
(T5192)Info (9835): 02/24/21 18:27:38:537 PrelogonThread starts

(T3244)Debug(1416): 02/24/21 18:27:47:287 First logon user.
(T3244)Debug(1467): 02/24/21 18:27:47:303 Session 1, username roadrunner.
(T3244)Debug(1476): 02/24/21 18:27:47:303 Session 1, domain name ACME.
(T3244)Debug( 302): 02/24/21 18:27:55:678 Received session change, event type 7, session 1
(T3244)Info (1556): 02/24/21 18:27:55:678 lock off session 1

(T5192)Debug(4492): 02/24/21 18:28:05:459 Prelogon flag is 1
(T5192)Debug(4470): 02/24/21 18:28:05:459 Start ProcessServerPortal tiggered by prelogon flag
(T5192)Info (4107): 02/24/21 18:28:05:459 UpdatePrelogonStateForSSO() - Pre-logon tunnel state = Connecting
(T5192)Debug(2233): 02/24/21 18:28:05:740 ----portal processing starts----
(T5192)Debug(6682): 02/24/21 18:28:07:006 ----Portal Pre-login starts----
(T5192)Debug(1244): 02/24/21 18:28:10:240 set certname to none-selected
(T5192)Debug(6827): 02/24/21 18:28:10:240 prelogin to portal result is 
(null)
(T5192)Debug(7123): 02/24/21 18:28:10:240 Failed to pre-login to the portal globalprotect.acme.corp with return value 12044(A certificate is required to complete client authentication).

在这种情况下,预登录隧道设置失败,因为 PanGPS 没有尝试查询导致门户登录前故障的机器证书存储。 但是, 触发器是 Windows 在登录前隧道谈判结束之前通知 PanGPS 有关用户会话。
Windows 可能会在登录前隧道谈判的不同阶段通知 PanGPS 有关用户会话的信息,因此日志中的错误消息可能会有所不同。 这里最重要的是 Windows 在预登录隧道建立结束之前通知 PanGPS 有关用户会话,而且在用户实际输入登录凭据之前。 PC

Environment


Windows 10 端点使用 GlobalProtect 客户端,连接方法设置为预登录。

Cause


此问题是由 Windows 中的功能引起的,该功能可以称为"自动登录"或"快速登录"。 为了加快登录过程并重新打开重新启动之前打开的应用程序,Windows 可以配置使用以前的登录信息在重新启动过程完成后立即完成设置用户会话。 默认情况下启用此功能,并且可以使用以下选项禁用
:Windows 设置>帐户>登录选项
"使用我的登录信息在更新或重新启动后自动完成设置设备"

登录选项>帐户>窗口设置

如果 Windows 自动登录在 PanGPS 启动之前创建用户会话,那么我们将在 PanGPS .log文件中看到以下条目:
(T2564)Info ( 144): 02/24/21 18:27:37:334 ####################### Start PanGPS service (ver: 5.2.5-66) ####################### 
(T2564)Info (1517): 02/24/21 18:27:37:334 Enumerate session: user acme\roadrunner logs in on session 1

然而,最近我们观察到的情况是,Windows 自动登录在 PanGPS 启动后创建用户会话,这会导致不稳定的预登录隧道行为。 如上所述,当 Windows 自动登录发生时,PanGPS .log会成功 evident ,但预登录隧道故障日志并非如此 evident 或一致。 换句话说:
  • 如果 Windows 自动登录在预登录隧道谈判结束之前通知 PanGPS 有关用户会话,则预登录隧道要么失败,要么突然断开连接。
  • 如果 Windows 自动登录在预登录隧道谈判结束后通知 PanGPS 有关用户会话,则预登录隧道将保持自然连接。
....因此间歇性的行为。

Resolution


应禁用 Windows 自动登录或快速登录,以使 GlobalProtect 预登录功能有效且一致。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001UgXCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language